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(57) Zusammenfassung: Vorgeschlagen wird ein Verfahren zum Betreiben eines zur AusfUhrung von nachladbaren Funktionspro- 
grammen ausgebildeten tragbaren Datentragers. Verfahrensgemass wird dabei auf dem Datentrager zunachst eine Laderschnitts telle 
installiert, welche das Nachladen von Ladeapplikationen gestatteu die ihrerseits das Laden von Funktionsprogrammen ermoglichen. 
Jeder Ladeapplikation wird ein nicht veranderbarer Verfugungsadressraum zugeteilt. Zur Unterstiitzung der Verwaltung eines zu- 
geteilten Verfugungsadressraumes werden zu nachzuladenen Anwendungsprogrammen Ausweise erstellt, welche eine Information 
iiber die Grosse des fur das Anwendungsprogramm benotigten Speicherplatzes enthalten. Entsprechend der auf den Ausweisen an- 
gelegten Grosse riinformation wird nachzuladenen Anwendungsprogrammen Adressraum in der Speichereinrichtung zugeteilt. Of- 
fenbart wird fenver ein zur AusfUhrung des Verfahrens geeigneier Datentrager. 
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Verfahren zum Betreiben eines zur Ausfuhrung von nachladbaren 
Funktionsprograrnmen ausgebildeten Datentragers 

5 

Die Erfindung geht aus von einem Verfahren nach der Gattung des 
Hauptanspruchs. 

10 Datentrager in Form von Chipkarten werden in einer zunehmenden Vielfalt 
von Anwendungsbereichen eingesetzt. Besonders verbreitet sind Karten ge- 
maf3 der Norm ISO 7810, die aus einem Kunststofftrager bestehen, in den 
eine integrierte Halbleiterschaltung sowie Kontaktmittel zum Herstellen 
elektrischer Verbindungen mit einem entsprechenden Lesegerat eingebracht 

15 sind. Vorgeschlagen wurde auch, den Kartentrager zu verkleinern oder ganz 
fortzulassen, und stattdessen beispielsweise ein Einchip-Mikrocontroller in 
Armbanduhren, Schmuckstiicke, Kleidungsstiicke oder andere Gebrauchs- 
gegenstande einzubauen. Der Begriff "Chipkarte" soil sich daher auf alle der- 
zeitigen und zuktinftigen transportablen (Klein-)Gegenstande erstrecken, in 

20 welche ein Mikrocontroller eingebettet ist, um es ihrem Besitzer oder Inha- 
ber zu ermoglichen, chipkartentypische Interaktionen mit entsprechenden 
dafiir vorgesehenen Interaktionsstationen vorzunehmen. Typische Chipkar- 
tenanwendungen sind die Kreditkarte, die Geldkarte, die Krankenversiche- 
rungskarte oder die Telefonkarte. Unter lf Anwendung" wird dabei die Ge- 

25 samtheit aller Daten, Befehle, Ablaufe, Zustande, Mechanismen und Algo- 
rithmen innerhalb einer Chipkarte verstanden, die erforderlich sind, um eine 
Chipkarte im Rahmen eines Systems, beispielsweise eines Kreditkartenzah- 
lungssystem, zu betreiben. 

30 Ublicherweise entspricht jeder Anwendxmg eine eigene Chipkarte und lief ert 
jede neue Anwendung sowie jedes Update einer bestehenden Anwendung 
ebenf alls eine neue Chipkarte. Grundsatzlich wiinschenswert ist deshalb eine 
Chipkarte, die fur eine Vielzahl von Anwendungen unterschiedlicher Dien- 
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steanbieter und unterschiedlicher Betreiber von Kartensystemen, wie Kre- 
ditkartenorganisationen, Banken, Versicherungen, Telef ongesellschaften 
usw., genutzt werden kann. 

5 Eine Dateiorganisation fur eine solche fur mehrere Anwendungen geeigne- 
ten Chipkarte ist aus Rankl/ Effing, "Handbuch der Chipkarten", Carl Hanser 
Verlag, 1996, Kapitel 5.6, entnehmbar. Die darin beschriebene Organisati- 
onsstruktur beruht auf der ISO/IEC-Norm 7816-4. An der Spitze der Datei- 
struktur steht dabei ein "Masterfile", das die Verzeichnisse aller anderen auf 

10 der Chipkarte vorhandenen Dateien enthalt. Dem Masterfile sind ein oder 
mehrere "Dedicated Files" nachgeordnet, welche die Dateinamen von in 
Gruppen zusammengefafiten, insbesondere die zu einer Anwendung gehd- 
renden Dateien enthalten. Jedem Dedicated File sind schliefilich ein oder 
mehrere "Elementary Files" untergeordnet, in denen die Nutzdaten einer 

15 Anwendung liegen. Als technisch moglich, aber aus Griinden der Sicherheit 
nicht zweckmafiig beschreibt die Schrift desweiteren das Nachladen von 
Programmcode. Als vielversprechendste Mafinahme zur Uberwindung der 
Sicherheitsbedenken verweist sie auf die Einrichtung einer "Memory Mana- 
gement Unit", welche auszufiihrenden Programmcode auf Einhaltung der 

20 zugewiesenen Grenzen iiberwacht. 

Aus der Druckschrift WO- Al-98/ 09257 sind ein System und ein Verfahren 
zum Laden von Anwendungen atif eine Chipkarte bekannt, die es erlauben, 
zusatzlich zu den Daten bereits geladener Anwendungen Programm- und 
25 Anwendungsdaten weiterer Anwendungen in eine Chipkarte zu bringen. 
Dabei sind Vorkehrungen auf der Gnmdlage geeigneter kryptographischer 
Techniken getroffen worden, die eine Verifizierung der Befugnis der das 
Nachladen von Daten betreibenden Stelle gestatten. Nachdem die Daten ei- 
ner zusatzlichen Anwendung in den Speicher der Chipkarte gelangt sind, 
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wird die Authentizitat der dazugehorigen Programmdaten uberpriift. So- 
dann werden die Programmdaten hinsichtlich ihrer Syntax sowie geltender 
Typenbeschrankungen gepriift. Wird bei einem dieser Priifschritte eine Un- 
stimmigkeit festgestellt, werden die zusatzlich geladenen Daten verworfen 
5 und im Speicher geldscht Das bekannte System erlaubt ein kontrolliertes 
Nachladen von Anwendungen auch nach Ausgabe der Karte an den 
Endanwender. Es bedingt allerdings, dalS ein Kartenausgeber, der eine 
Chipkarte mit verfiigbarem, freiem Speicherplatz etwa an einen Dienstean- 
bieter abgibt, selbst bereits die Identitat aller Stellen des Diensteanbieters 

10 kennen mufi, die spater einmal berechtigt sein sollen, einem Endnutzer An- 
wendungen zum Nachladen anzubieten. Das kann dadurch geschehen, daS 
der Kartenausgeber bestimmte offentliche Signaturschliissel von Dienstean- 
bietern zertifiziert, um durch Hinterlegung seines eigenen off entlichen Si- 
gnaturschliissels, etwa in der ROM-Maske der Chipkarte, eine Uberpriifung 

15 der Authentizitat nachgeladener Daten leisten zu konnen. Ein Kartenausge- 
ber hat bei dem bekannten System allerdings keine Moglichkeit, xiber die 
Authentizitat und die syntaktische Korrektheit hinaus das von den Dienste- 
anbietem belegte Speichervolumen auf einer einzelnen Chipkarte zu kon- 
trollieren. 

20 

Aus der DE 197 18 115 Al sind f erner eine Chipkarte sowie ein Verfahren 
zum Laden von Daten auf eine Chipkarte bekannt, welche es ermoglichen, 
auch nach AbschluC des Kartenherstellungsprozesses Kartenapplikationen 
auf eine Chipkarte zu bringen. Hierzu wird auf der Chipkarte ein Container- 
25 speicherraum angelegt, in welchen Diensteanbieter eigene Applikationen 
laden konnen. In dem Containerspeicherraum ist dabei die Programm- 
grundstruktur nachladbarer Applikationen vorabdefiniert; nachgeladen 
werden nur noch applikationsspezifische Daten und Schliissel. Durch die 
Vorabdefinition der Strukturen ladbarer Applikationen wird eine sichere 
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Separation von Daten verschiedener Diensteanbieter auf einer Karte erreicht. 
Das Nachladen von Applikationen mit unbekannter Datenstruktur sieht die 
Schrift nicht vor. Generell sind fur die Verwaltung des Containerspeicher- 
raums Alternativen zur Vorabdefinition von Applikationsstrukturen nicht 
5 beschrieben. Das Konzept der Vorabdefinition von Applikationsstrukturen 
ist nicht einsetzbar, wenn nachtraglich Programmcode unbestimmten Urn- 
fanges auf eine Karte geladen werden sollen. Fur das nachtragliche Aufbrin- 
gen kompletter Programnicodes von Applikationen ist die aus der DE 197 18 
115 Al entnehmbare Losung daher nicht geeignet. 

10 

Der Erf indung liegt die Aufgabe zugrunde, ein Verf ahren zum Einbringen 
einer zusatzlichen Anwendung auf eine Chipkarte sowie eine Chipkarte an- 
zugeben, die die genannten Nachteile des Standes der Technik vermeiden. 

15 Diese Aufgabe wird erfindungsgemafi gelost durch ein Verfahren mit den in 
Anspruch 1 angegebenen Merkmalen sowie durch eine Chipkarte mit den 
Merkmalen des unabhangigen Anspruchs 4. Die Aufgabe wird ebenfalls ge- 
lost durch ein Verfahren mit den in Anspruch 8 angegebenen Merkmalen 
sowie durch eine Chipkarte mit den Merkmalen des unabhangigen An- 

20 spruchs 12. Die Gegenstande der Patentanspriiche 1 und 4 einerseits sowie 8 
und 12 andererseits haben jeweils eigenstandige erfinderische Bedeutung, 
die Verfahren gemafi den Anspriichen 1 und 8 sowie die Gegenstande der 
Anspriiche 4 und 12 lassen sich aber auch verbinden. 

25 Das erfindungsgemafie Verfahren gemafi Anspruch 1 und ebenso das Ver- 
fahren gemafi Anspruch 8 erlauben es einem Kartenherausgeber in vorteil- 
hafter Weise, einem Anwender das eigenmachtige, nachtragliche Einbringen 
von Fxinktionsprogrammen in eine Karte zu gestatten. Der Kartenausgeber 
mufi nicht mehr vorab festlegen, welche Anwender oder Diensteanbieter 
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eine Erlaubnis zum Nachladen von zusatzlichen Anwendungen auf be- 
stixnmte Chipkarten erhalten sollen. Das Nachladen einer Anwendung ist 
vielmehr auch dann moglich, wenn die Chipkarte bereits ausgegeben ist und 
sich im Besitz des Anwenders befindet. Das Verfahren eignet sich deshalb 
5 insbesondere daftir, eine vertragliche Abtretung genau umreifibarer Rechte 
an Speicherressourcen von Chipkarten an Dritte durch einen Chipkarten- 
ausgeber umzusetzen. 

Das Verfahren gewahrleistet dabei einen hohen Sicherheitsstandard. Gemafi 
10 Anspruch 1 wird er erreicht, indem zum Nachladen von Anwendungs- 

funktionsprogrammen bef ahigende Ladeapplikationen nur iiber eine vom 
Kartenherausgeber auf der Karte eingerichtete Hauptladerschnittstelle auf 
die Karte gebracht werden konnen. Mittels der Hauptladerschnittstelle las- 
sen sich vorteilhaft insbesondere die physikalische Lage sowie der logische 
15 Wirkungsbereich eines nachgeladenen Funktionsprogrammes genau definie- 
ren. Die Schaffung einer Moglichkeit zum Nachladen von Funktionspro- 
grammen vereinfacht in vorteilhafter Weise zudem die Fertigung der ent- 
sprechenden Karten. 

20 Das Ausweissystem nach Anspruch 8 bietet den Vorteil, dafi der Kartenher- 
ausgeber das Volumen des Speicherplatzes kontrollieren kann, das einzelnen 
Anwendem fiir nachladbare Anwendungen zur Verfugung stehen soli. Das 
Ausweissystem bietet desweiteren die Moglichkeit zur Einrichtung eines 
anwendungsbezogenen Kostensy stems. Beispiels weise kann vorgesehen 

25 sein, einen Anwender oder Diensteanbieter in dem Mafie an den Gesamtko- 
sten einer Chipkarte zu beteiligen, in dem er die Speichereinrichtung der 
Chipkarten belegt 
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Vorteilhaf te Weiterbildungen unci zweckmafiige Ausgestaltungen des vor- 
geschlagenen Verfahrens bzw. der vorgeschlagenen Chipkarte sind den ab- 
hangigen Anspriichen entnehmbar. 



5 Die Erfindung wird im folgenden unter Bezugnahme auf die Zeichnung an- 
hand eines Ausfiihrungsbeispieles exemplarisch und in nicht beschranken- 
der Weise naher erlautert. 

In der Zeichnung zeigen 

10 

Fig. 1 den strukturellen Aufbau einer Mikroprozessorchipkarte, 



Fig. 2 schematisch die Belegung der Speichereinrichtung einer Chipkarte 
mit einem Hauptlader, 

15 

Fig. 3 die Belegung der Speichereinrichtung nach dein Laden eines Spe- 
zialladers, 

Fig. 4 eine schematische Darstellung der hierarchischen Struktur aus ei- 
20 nem Hauptlader und mehreren Spezialladern. 



Fig. 1 zeigt den typischen Aufbau einer mit einem Mikroprozessor ausgeni- 
steten Chipkarte 10. Hauptelement bildet eine zentrale Prozessoreinheit 20, 
welche der Chipkarte 10 durch Ausfuhrung von Funktionsprogrammen ihre 
25 Funktionalitat verleiht. Der Prozessoreinheit 20 ist eine aus drei Speicher- 

schaltungen 30, 40, 50 aufgebaute Speichereinrichtung 110 zugeordnet Dabei 
reprasentiert die Speicherschaltung 30 einen maskenprogrammierten Nur- 
Lese-Speicher (ROM), worin sich insbesondere das Betriebssystem der zen- 
tralen Prozessoreinheit 20 befindet, die Speicherschaltung 50 einen elektrisch 
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loschbaren Nur-Lese-Speicher 50 (EEPROM) zur Aufnahme der Pro- 
grammcodes von Funktionssprogramrnen sowie von durch die zentrale Pro- 
zessoreinheit 20 benutzten Daten, die Speicherschaltung 40 einen, in der Re- 
gel fliichtigen, Schreib-Lese-Speicher 40 (RAM) zur Nutzung als Arbeitsspei- 
5 cher bei der Ausfiihrung eines Funktionsprogrammes. Eine Kartenfunktio- 
nalitat ergibt sich aus der Gesamtheit der in den Speicherschaltungen 30, 40, 
50 enthaltenen Programmcodes bzw. Daten. Die Speicherschaltungen 30, 40, 
50 konnen dabei, falls dies technisch notwendig oder zweckmafiig ist, iiber- 
greifend genutzt werden, etwa indem bestimmte Speicheradrefibereiche im 

10 EEPROM fur Programmdaten des Betriebssystems benutzt werden oder 

Speicheradrefibereiche im ROM mit Anwendungsdaten belegt sind. Aus die- 
sem Grund werden die Speicherschaltungen 30, 40, 50 nachfolgend stets ge- 
samtheitlich als Speichereinrichtung 110 aufgefafit Zum Austausch von Da- 
ten nut externen Einrichtungen besitzt die Karte 10 desweiteren eine Daten- 

15 schnittstelle 60, die ebenfalls mit der zentralen Prozessoreinheit 20 verbun- 
den ist. Eine typische Anwendung der gezeigten Karte 10 bildet die Ausfiih- 
rung elektronischer Zahlungsvorgange. Eine detaillierte Beschreibung der in 
Fig. 1 dargestellten Chipkarte findet sich im iibrigen z.B. in Rankl/ Effing, 
"Handbuch der Chipkarten", Carl Hanser Verlag, 1996, Kapitel 2.3. 

20 

Eine erste Ausgestaltung der Erfindung beruht auf dem Konzept, das Ein- 
bringen von Ladeapplikationen, welche ihrerseits Anwendungsfunktions- 
programme laden konnen, auf eine Karte zuzulassen, die Einrichtung der 
Ladeapplikationen selbst dabei aber ausschliefilich einer speziellen Lader- 
25 schnittstelle zu gestatten. Fig. 2 veranschaulicht schematisch die Belegung 
der Speichereinrichtung 110 einer Chipkarte, welche zunachst nur den Pro- 
grsunmcode eines einzelnen Funktionsprogrammes 120 umf afit, das eine er- 
ste Laderschnittstelle 120 definiert. Die Laderschnittstelle 120 ist speziell da- 
zu ausgebildet, Funktionsprogramme in die Speichereinrichtung 110 nachzu- 
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laden, die Ladeapplikationen realisieren, d.h. die ihrerseits Ladefunktionali- 
tat besitzen und das Nachladen von Anwendungsfunktionsprogrammen 
ermoglichen. Die Laderschnittstelle 120 bildet zweckmafiig eine Grundaus- 
stattung einer Chipkarte und wird vom Kartenherausgeber oder Kartenher- 
5 steller auf die Karte gebracht. Die im folgenden als Hauptlader (HL) be- 
zeichnete Laderschnittstelle 120 belegt einen Teil des gesamten in der Spei- 
chereinrichtung 110 zur Verfiigung stehenden Speicherbereiches. Das den 
Hauptlader 120 realisierende Funktionsprogramrn kann dabei insbesondere 
Bestandteil des Betriebssystems der Chipkarte und entsprechend als Teil des 

10 maskenprogrammierten Codes im Nur-Lese-Speicher (ROM) 30 ausgefuhrt sein. 
Ein anderer Teil des Gesamtspeicherbereiches ist zunachst nicht mit Daten 
belegt und steht als Freispeicher 130 fur noch zu ladende weitere Funktions- 
programme zur Verfiigung. Die Verwaltung des gesamten Freispeichers 130 
erfolgt zunachst durch den Hauptlader 120. In dieser Funktion als Verwal- 

15 tungseinrichtung steuert der Hauptlader 120 insbesondere das Laden des 
Programmcodes des ersten nachzuladenden Funktionsprogrammes in den 
Freispeicher 130 und die Zuteilung von Adrefiraumen an diesen. Der Byte- 
code des ersten wie auch aller weiteren nachgeladenenen Funktionspro- 
gramme wird in Form geeigneter elektrischer Signale uber die Datenschnitt- 

20 stelle 60 ubermittelt. 

Der Hauptlader 120 ladt bevorzugt nur solche Funktionsprogramme in die 
Speichereinrichtung 110, die definierte Sicherheitsvoraussetzungen erfullen. 
Beim Laden priift er dazu vorzugsweise Integritat und Authentizitat einer 
25 zu ladenden Ladeapplikation durch Pnifung, ob der zum Laden anstehende 
Programmcode unverandert in einer vom Hersteller gebilligten Form vor- 
liegt, oder ob der Hersteller einer Ladeapplikation tatsachlich zum Einbrin- 
gen der Ladeapplikation befugt ist, indem er zum Beispiel vom Kartenaus- 
geber ein Recht zur Nutzung von Chipkarten-Ressourcen erworben hat. 
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Fig. 3 zeigt die Speicheranordnung aus Fig. 2, wobei der Hauptlader 120 jetzt 
ein erstes, eine Ladeapplikation realisierendes Funktionsprogramm 210 in 
den Freispeicher 130 geladen hat. Die Ladeapplikation 210 definiert eine 
5 zweite, im folgenden als Speziallader 210 (DL) bezeichnete Schnittstelle. Sie 
erlaubt es, nachfolgend weitere Funktionsprogramme in die Speichereinrich- 
tung 110 zu bringen. Dafizr steht ihr jedoch nur ein definierter, nicht erwei- 
terbarer Verfiigungsadrefiraum 220 bereit. Der Verfugungsadrefiraum 220 
wird dem Speziallader 210 vom Hauptlader 120 beim Laden des Spezial- 

10 laders 210 zugeteilt. Mit Zuteilung geht dabei die Verwaltung des Verfu- 

gungsadrefiraumes 220 vollstandig an den Speziallader 210 tiber, der hierzu 
wie der Hauptlader 120 tiber die notwendige Funktionalitat als Verwal- 
tungseinrichtung verfiigt. Der Haupdader 120 hat auf die weitere Nutzung 
des dem Speziallader 210 zugeordneten Verfugungsadrefiraumes 220 keinen 

15 Einflufi und keine Zugriffsmoglichkeit mehr. 

Weiterhin unter Verwaltung des Hauptladers 120 verbleibt der nicht durch 
Ubernahme von Spezialladern 210 und Zuteilung von Verfiigungsadrefi- 
raumen 220 belegte und in separate Abschnitte 130a, 130b fragmentierte Teil 
20 des FreispeicheradreCraumes. 

Das Laden eines Spezialladers 210 kann, im Unterschied zum Hauptlader 
120, durch den Anwender einer Karte erfolgen. Der Speziallader 210 ermog- 
licht es und ist Voraussetzung dafiir, dafi der Anwender nachfolgend An- 
25 wendungen realisierende Funktionsprogramme nach eigener Wahl in den 
Verfiigungsadrefiraum 220 laden kann. Unter Anwendung wird dabei die 
Gesamtheit aller Daten, Befehle, Ablaufe, Zustande, Mechanismen und Al- 
gorithmen zum Betrieb einer Chipkarte verstanden, die erforderlich ist, um 
die Chipkarte im Rahmen einer Anwendung zu betreiben. Bei der Ubernah- 
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me neuer, Anwendungen realisierender Funktionsprogramme in den Verfii- 
gungsadrefiraum 220 stellt der Speziallader 210 sicher, da£ der Programm- 
code eines geladenen Funktionsprogrammes keinesfalls auf aufierhalb des 
Verf iigungsadrefiraumes 220 liegenden Datencode zugreifen kann. Der ei- 
nem Speziallader 210 zugeteilte Verfiigungsadrefiraum 220 kann dabei schon 
beim Laden durch den Hauptlader 120 mit Sicherungen versehen worden 
sein, die einen physikalischen oder logischen Zugriff auf aufierhalb des Ver- 
ftigungsadrefiraumes 220 liegende Teilbereiche der Speichereinrichtung 110 
verhindem. Die Aufteilung des Verftigungsadrefiraumes 220 auf nachgela- 
dene Funktionsprogramme erfolgt durch den Speziallader 210. Einem Funk- 
tionsprograinm 230 zur Realisierung einer neuen Kartenanwendung kann 
dabei beispielsweise ein Teilbereich 231 des Verfiigungsadrefiraumes 220 
zugewiesen worden sein. 

In einer besonders fur eine Uberlassung von Speicherbereich an Dritte giin- 
stigen Auspragung der vorstehend beschriebenen Struktur ist die Belegung 
der Speichereinrichtung 110, wie in Fig. 4 gezeigt, hierarchisch strukturiert 
und konnen nachgeladene Funktionsprogramme die Moglichkeit erhalten, in 
definierter Weise auf bereits in der Speichereinrichtung 110 vorhandene an- 
dere Funktionsprogramme zuzugreif en. Die angedeutete Baumstruktur ver- 
anschaulicht dabei die zeitliche Abfolge des Einbringens der unterschiedli- 
chen Funktionsprogramme. Im Minimalzustand ist die Karte nur mit einem 
Hauptlader 120 ausgestattet er bildet zunachst den einzigen Zugang zur 
Speichereinrichtung 110 der Karte. Der Hauptlader 120 ermoglicht das La- 
den von Spezialladern 210a, 210b f 210c so wie von allgemeinen Funktionen 
bzw. Kartengrtindfunktionen realisierenden Funktionsprogrammen 240. Be- 
findet sich ein Hauptlader 120 auf einer Karte, konnen Speziallader 210 und 
Funktionsprogramme 240 zu beliebigen Zeitpunkten tiber den Hauptlader 



WO 01/01357 



PCT/EP00/05795 



-11- 

120 geladen werden, sie sind in der Baumstruktur der Figur 4 daher als vom 
Hauptlader ausgehende, parallele Pfade dargestellt. 

Alle neu geladenen Funktionsprogramme 210, 240 werden beim Laden 
5 durch den Hauptlader 120 auf Zulassigkeit und Sicherheit gepriif t. Nur po- 
sitiv gepriifte Funktionsprogramme werden geladen. Geladenen Spezial- 
ladern 210 a,b,c teilt der Hauptlader 120 in der Speichereinrichtung 110 je- 
weils einen unverriickbar lagedefinierten, durch den zugehorigen Spezial- 
lader 210 nicht erweiterbaren Verftigungsadrefiraum 220 zu. Das den Spe- 
10 ziallader 210 realisierende Funktionsprogramm kann dabei Informationen 
zur Grofie des benotigten Verfugungsadrefiraumes 220 enthalten. Erhalt der 
Hauptlader 120 keine Grofieninformationen, teilt er einen Standardverfti- 
gungsadrefiraum zu. 

15 Beim Laden von Funktionsprogrammen 210, 240 stellt der Hauptlader 120 
sicher, dafi die Verfugungsadrefiraume 220 verschiedener Speziallader 210 
logisch und physikalisch streng getrennt sind und ein Zugriff eines Spezial- 
laders 210 auf den Verftigungsadrefiraum 220 eines anderen Spezialladers 
210 grundsatzlich nicht moglich ist. Nach Laden und Verfugungsadrefi- 

20 raumzuteilung geht die Kontrolle tiber den jeweiligen Verfiigungsadrefi- 
raum 220 jeweils vollstandig und ausschliefilich auf den zugehorigen Spe- 
ziallader 210a, 210b, 210c iiber. Jeder Speziallader 210 kann nun in den je- 
weils zugeteilten Verftigungsadrefiraum 220 weitere Funktionsprogramme 
laden, insbesondere Funktionsprogramme, die Kartenanwendungen realisie- 

25 ren, etwa kryptographische Schliissel oder Verfahren zu sicheren Durchftih- 
rung von Finanztransaktionen. Den zu einem zu ladenden Funktionspro- 
gramm gehorenden Bytecode unterwirft der Speziallader 210 beim Laden 
einer Sicherheits- und Zulassigkeitsprxiftmg. 
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Der Speziallader 210 ist femer in Lage, neu zu ladende Funktionsprogramme 
definiert mit bereits vorhandenen zu verbinden ("linken"). Der Speziallader 
210 legt dabei beim Laden eines Funktionsprogramrnes dessen mogliche Zu- 
griffsrechte und Verbindungsmoglichkeiten in Bezug auf andere, in der 
5 Speichereinrichtung 110 bereits vorhandene Funktionsprogramme definiert 
f est. Genauso kann er Beschrankungen einrichten, welche den Zugriff auf 
oder die Verbindung eines neu geladenen Funktionsprogrammes mit einem 
bereits vorhandenen oder noch nachladbaren Funktionsprogramm aus- 
drticklich unterbinden. Verbindungen bzw. Zugriffsbeschrankungen konnen 
10 dabei innerhalb des Verfugungsadrefiraumes eines Spezialladers eingerichtet 
werden gelten, aber auch iibergreifend auf die Verfiigungsadrefiraume an- 
derer Speziallader. 

Im Ausfiihrungsbeispiel der Fig. 4 haben der Speziallader 210a zwei Funkti- 
15 onsprogramme 310, 311, der Speziallader 210b drei Funktionsprogramme 
320, 321, 322, der Speziallader 210c ein weiteres Funktionsprogramm 330 
gepriift, zugelassen und in den jeweils zugeteilten Verfiigungsadrefiraum 
220 geladen. Das Nachladen der Funktionsprogramme 310, 311, 320, 321, 
322, 330 kann, wenn der benotigte Speziallader 210 auf der Karte vorhanden 
20 ist, durch den Speziallader 210 zu beliebigen Zeitpunkten und in beliebiger 
Reihenfolge geschehen. In Figur 4 ist jedes nachgeladene Funktionspro- 
gramm 310, 311, 320, 321, 322, 330 entsprechend dem jeweils ladenden Spe- 
ziallader 210a, 210b bzw. 210c zugeordnet. Die Funktionsprogramme 310, 
311, 320, 321, 322, 330 konnen, unter der Voraussetzung, dafi dies beim La- 
25 den durch die jeweils eingeschalteten Speziallader 210 zugelassen wurde, 
auf einander zugreif en oder miteinander verbunden werden. Im Beispiel der 
Fig.4 kann etwa das Funktionsprogramm 330 auf die Funktionsprogramme 
321 oder 310 zugreifen, um etwa darin angelegte Prozeduren selbst zu ver- 
wenden. Keine Zugriffs- oder Verbindungsmoglichkeit hat das Funktions- 
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programm 330 andererseits beziiglich der Funktionsprogramine 311, dieses 
ist infolge einer fehlenden entsprechenden Zugriffs- bzw. Verbindungser- 
laubnis fur das Funktionsprogramm 330 gesperrt, oder 320, dieses ist fur alle 
Fremdzugriff e gesperrt. 

5 

Komplementar zum Laden neuer Funktionsprogramme durch den Hauptla- 
der 120 oder einen Speziallader 210 ist grundsatzlich auch das Loschen von 
in einer Speichereinrichtung 110 vorhandenen Funktionsprogrammen 210, 
240, 310, 330 moglich. Die Berechtigung zum Loschen wird jeweils beim La- 
10 den eines Funktionsprogrammes durch den Lader 120, 210 eingerichtet. Das 
Loschen eines Spezialladers 210 ist nur moglich, wenn sich in dem ihm zuge- 
teilten Verfiigungsadrefiraum 220 kein Funktionsprogramm mehr befindet. 
Der Hauptlader 120 kann nicht geloscht werden. 

15 Eine Mafinahme, welche eine risikoarme Uberlassung von Chipkartenspei- 
cherraum an Dritte vorteilhaf t unterstutzt, ist die Nutzung eines Ausweissy- 
stems fiir die Durchfiihrung der Speicherraumzuteilung durch Hauptlader 
120 und/oder Speziallader 210a, 210b, 210c. Die Ausweise haben dabei die 
Gestalt einer digitalen Information. Sie werden einem Speziallader 210 oder 
20 einem zu ladenden Funktionsprogramm beigegeben und beinhalten insbe- 
sondere eine Angabe uber die Grofie des gewxinschten Verfiigungsadrefi- 
raumes 220 bzw. die Grofie des darin fiir das Funktionsprogramm benotigen 
Adrefiraumes 230. Der Lader 120, 210, iiber den ein mit einem Ausweis ver- 
sehener Speziallader bzw. ein mit einem Ausweis versehenes Funktionspro- 
25 gramm 230 geladen werden soil, mufi zur Auswertung des Ausweises f ahig 
sein. Ein Ausweissystem kann fiir alle Lader 120, 210 einer Karte oder auch 
nur fiir einzelne eingerichtet sein; eine hierarchische Laderstruktur wie in 
Figur 3 gezeigt ist keine Voraussetzung fiir seine Einrichtung. Die Ausweise 
werden vom Chipkartenherausgeber oder dem Hersteller eines Laders 120, 
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210 generiert. Von jenem mtissen sie auch fur einen neu zu ladenden Spezial- 
lader 210 bzw. fur ein neu in eine Speichereinrichtung 110 zu ladendes 
Funktionsprogramm vorab erworben werden. Der Laderhersteller/Karten- 
herausgeber ist auf diese Weise stets iiber die Belegung des seinem Lader 
5 120/210 zugeordneten Verfiigungsadrefiraumes informiert. Indem er neu zu 
ladenden Spezialladern bzw. Funktionsprograixunen nur den unbedingt 
notwenigen AdreBraum zuweist, kann er dabei mittels einer entsprechenden 
Information auf dem Ausweis eine besonders speicherplatzssparende Nut- 
zung eines zugeteilten Verfugungsadrefiraumes sicherstellen. 

10 

Neben einer reinen Grofieninformation kann ein Ausweis weitere Informa- 
tionen enthalten, etwa Informationen, welche die Priifung der Authentizitat 
eines Ausweises ermoglichen. Echtheit und Falschungssicherheit eines Aus- 
weises werden weiter vorzugsweise durch kryptographische Verfahren ge- 

15 wahrleistet. Die Informationen auf einem Ausweis sind hierbei verschliisselt, 
der Ausweis enthalt entsprechend beispielsweise einen Initialisierungs- 
schliissel, welcher es einem autorisierten Lader erlaubt, einen Schliissel zum 
Lesen des Ausweises abzuleiten. Zweckmafiig enthalt ein Ausweis ferner 
eine kryptographisch realisierte digitale Signatur. Zur Erleichterung der 

20 Verwaltung konnen auf einem Ausweis desweiteren beispielsweise die Be- 
zeichnung eines Funktionsprogrammes, eine Anwendungskennung / ein Da- 
tum, o.a. angelegt sein. Moglich ist weiterhin die Einrichtung von Informa- 
tionen, welche die Nutzbarkeit eines Funktionsprogrammes beschranken; 
beispielsweise kann die zeitliche Nutzbarkeit einer Anwendung beschrankt 

25 werden, oder es konnen Kennungen von Karten angegeben sein, welche al- 
leine zur Nutzung eines Funktionsprogrammes berechtigt sind. 
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Patentanspriiche 

1. Verfahren zum Betreiben eines mit einer Dateniibertragungseinrich- 
tung, einer Speichereinrichtung sowie einer Programmausfuhrungs- 
5 einheit zur Ausfiihrung von in der Speichereinrichtung enthaltenen 

Funktionsprogrammen ausgestatteten Datentragers mit f olgenden 
Schritten: 

Installieren eines Funktionsprogrammes in der Speichereinrich- 
tung (110) des Datentragers, das eine Laderschnittstelle (120) 
10 realisiert, welche es ihrerseits ermoglicht, Funktionsprogram- 

me nachzuladen, die jeweils eine Ladeapplikation (210) reali- 
sieren, 

- Bereitstellen eines fur die Laderschnittstelle (120) verfugbaren 
Freispeicherraumes (130) in der Speichereinrichtung (110), 

15 - Nachladen mindestens einer Ladeapplikation (210) iiber die Da- 

teniibertragungseinrichtung (60) in die Speichereinrichtung 
(110), wobei das Nachladen von der Laderschnittstelle (120) 
kontrolliert wird, und wobei der Ladeapplikation (210) ein Teil 
des Freispeicherraums (130) als Verfiigungsadrefiraum (220) 

20 zugeteilt wird. 

2. Verfahren nach Anspruch 1, gekennzeichnet durch folgenden weite- 
ren Schritt: 

Nachladen mindestens eines Anwendungsprogrammes (230) 
25 iiber die Dateniibertragungseinrichtung (60) durch die Pro- 

grammausfiihningseinheit unter der Kontrolle der Ladeappli- 
kation (210) in den dieser zugeteilten Verfiigungsadrefiraum 
(220). 
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Verfahren nach Anspruch 1, dadurch gekennzeichnet, dafi die Lader- 
schnitts telle (120) die Kontrolle iiber einen einer Ladeapplikation (210) 
zugewiesenen Verfiigungsadrefiraum (220) an die Ladeapplikation 
(210) abgibt 

Datentrager mit 

- einer Speichereinrichtung (110) zur Aufnahme von Funktions- und 
Anwendungsprogrammen, 

einer Programmausfiihrungseinheit (20) zur Ausfuhrung von in der 
Speichereinrichtung (110) enthaltenen Funktionsprogrammen, 

- einer Datenubertragungseinrichtung (60), 

- sowie einer als Funktionsprogramm realisierten Laderschnittstelle 
(120) zum Laden von mindestens einer das Nachladen eines weite- 
ren Anwendungsprogrammes ermoglichenden Ladeapplikation 
(210) in die Speichereinrichtung (110) iiber die Datenubertragungs- 
einrichtung (60), 

- wobei der Laderschnittstelle (120) in der Speichereinrichtung (110) 
ein Freispeicherraum (130) zur Aufnahme mindestens einer Lade- 
applikation zugeordnet ist 

Datentrager nach Anspruch 4, dadurch gekennzeichnet, dali eine in 
die Speichereinrichtung (110) aufgenommene Ladeapplikation (210) 
unabhangig von der Laderschnittstelle (120) einen Teil (220) des der 
Laderschnittstelle zugeordneten Freispeicherraums (130) kontrolliert. 

Datentrager nach Anspruch 4, dadurch gekennzeichnet, dafi die La- 
deapplikationen (210) dazu ausgebildet sind, nachzuladene Anwen- 
dungsprogramme (330) wahrend des Ladens mit auf dem Datentrager 
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bereits vorhandenen Anwendungs- und Funktionsprogrammen zu 
verbinden. 

Datentrager nach Anspruch 6, dadurch gekennzeichnet, dafi eine La- 
deapplikation (210) Beschrankungen beinhaltet, welche die Verbin- 
dung eines neuzuladenden Anwendungsprogrammes (330) mit einem 
bereits vorhandenen (311, 320) verbieten. 

Verf ahren zum Betreiben eines eine Speichereinrichtung zur Aufnah- 
me von Funktions- und Anwendungsprogrammen, eine Pro- 
grammausfuhrungseinheit zur Ausfuhrung von in der Speicherein- 
richtung enthaltenen Funktions- und Anwendungsprogrammen, so- 
wie eine Datenxibertragungseinrichtung aufweisenden Datentragers 
mit f olgenden Schritten: 

Ausriisten des Datentragers mit einem eine Laderschnittstelle 
(120, 210) realisierenden Funktionsprogramm zum Nachladen 
von Anwendungsprogrammen in die Speichereinrichtung, 
Ausriisten des Datentragers mit einer Verwaltungseinrichtung 
zum Zuteilen von Adrefiraumen in der Speichereinrichtung 
(110) an nachgeladene Anwendungsprogramme, 
Versehen der nachzuladenen Anwendungsprogramme mit 
Ausweisen, welche eine Information xiber die Grofie des fur 
das Anwendungsprogramm benotigten Speicherplatzes enthal- 
ten, 

Auswerten des Ausweises beim Nachladen eines Anwen- 
dungsprogrammes, und 

Zuteilen eines auf die ermittelte Grofieninformation abge- 
stimmten Adrefiraumes in der Speichereinrichtung (110) an das 
Anwendungsprogramm. 
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Verfahren nach Anspruch 8, dadurch gekennzeichnet, dafi der Aus- 
weis weiterhin eine das Anwendungsprogramm bezeichnende Infor- 
mation enthalt 

Verfahren nach Anspruch 8, dadurch gekennzeichnet, dafi der Aus- 
weis weiterhin eine Signatur zum Nachweis der Echtheit des Anwen- 
dungsprogrammes enthalt. 

Verfahren nach Anspruch 8, dadurch gekennzeichnet, dafi die Aus- 
weise vom Herausgeber des Datentragers ausgegeben werden. 

Datentrager mit einer Speichereinrichtung (110) zur Aufnahme von 
Funktions- und Anwendungsprogrammen, einer Programmausfuh- 
rungseinheit (20) zur Ausfiihrung von in der Speichereinrichtung ent- 
haltenen Funktionprogrammen, einer Datenubertragungseinrichtung 
(60), sowie einer als Funktionsprogramrn realisierten Laderschnittstel- 
le (120, 210) zum Nachladen von mindestens einem Anwendungspro- 
grarnm in die Speichereinrichtung iiber die Datenubertragungsein- 
richtung (60), wobei die Laderschnittstelle (120, 210) Mittel zum Prii- 
fen eines Ausweises eines zu ladenden Anwendungsprogrammes 
aufweist und sie einem zu ladenden Anwendungsprogramm entspre- 
chend einer auf dem Ausweis enthaltenen GroSeninf ormation Spei- 
cherplatz in der Speichereinrichtung (110) zuteilt. 
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